The Next Webin mukaan tsekkiläisen tietoturvayhtiö Avastin tutkijat havaitsivat, että kiinalaisen Shenzhen i365 Techin valmistamat gps-laitteet eivät ole tietoturvaltaan mitenkään vahvoilla.

Shenzhen i365 pakkaa gps-moduulinsa 31 eri tuotemalliin eri brändien alla. Näitä laitteita markkinoidaan muun muassa huolestuneille vanhemmille, jotka haluavat seurata missä lapset liikkuvat.

Gps-laitteet lähettävät sijaintitietojaan pilveen, josta niitä voi hakea erillisen sovelluksen tai verkkosivun kautta.

Paha kyllä, tämän järjestelyn tietoturva on järkyttävän reikäinen.

Palvelun salasana on oletusarvoisesti 123456. Sitä ei voi muuttaa ellei luo käyttäjätiliä, ja se taas vaatii yhteyden ottamista valmistajaan. Useimmat käyttäjät eivät tätä siksi vaivaudu tekemään.

Tilin käyttäjätunnus puolestaan tulee suoraan gps-laitteesta itsestään. Tunnus on luotu yksinkertaisella sarjanumerolla ja mallikoodilla, vieläpä kätevästi peräkkäisten sarjanumeroiden muodostamassa ketjussa.

Tämän lisäksi kommunikaatio sijaintitietoja sisältävän pilvipalvelimen ja sitä lukevan mobiilisovelluksen tai verkkosivun välillä hoidetaan suojaamattomalla http-yhteydellä. Se oli helposti kaapattavissa.

Hiukan kekseliäisyyttä käyttäen Avastin väki onnistui löytämään keinon millä, gps-laite huijataan viestimään puhelinnumeroihin, kuten sellaisiin joita käyttäjä on rekisteröinyt gps-laitteen käyttöön ottaessaan. Näin hakkerit saivat valjastettua gps-laitteen luomaan yhteyden käyttäjän puhelimeen tämän huomaamatta, ja seuraamisen lisäksi saattoivat salakuunnella tämän tekemisiä.

Avastin tutkijat löysivät ainakin 600 000 Shenzhenin valmistamaa gps-laitetta, jotka käyttivät oletusarvoista salasanaa. Tutkijat saivat paikallistettua 167 000 laitteen sijainnin.

Jo kesäkuussa Avast otti Shenzheniin yhteyttä ilmoittaakseen löytämästään tietoturva-aukosta. Valmistaja ei ole edelleenkään vastannut mitään.